當(dāng)企業(yè)創(chuàng)建或使用云上應(yīng)用系統(tǒng)時，大多都需要使用Kubernetes。據(jù)云原生計算基金會（CNCF） 最近的一份報告顯示，Kubernetes在全球已擁有近600萬個企業(yè)用戶，成為云上應(yīng)用程序主要的部署模式。

　　隨著Kubernetes平臺上的敏感數(shù)據(jù)越來越多，其被攻擊的風(fēng)險就越大。要實現(xiàn)Kubernetes平臺的完整安全措施需要一個系統(tǒng)化的建設(shè)過程，但研究人員發(fā)現(xiàn)，在Kubernetes應(yīng)用產(chǎn)生的安全問題中，超過9成都是由于非?；A(chǔ)的原因所引發(fā)，本來是可以被避免的。本文梳理總結(jié)了Kubernetes應(yīng)用中的七個最常見基礎(chǔ)性安全錯誤。

　　1、默認(rèn)配置未修改

　　研究人員發(fā)現(xiàn)，許多組織都在使用默認(rèn)的集群配置，并且未引起重視，這是個非常嚴(yán)重的錯誤。盡管Kubernetes的默認(rèn)設(shè)置為開發(fā)人員賦予了較大的靈活性和敏捷性，但是卻沒有考慮安全防護(hù)層面的需求。默認(rèn)配置在面對非法攻擊時會變得非常脆弱。為了保護(hù)Kubernetes上應(yīng)用數(shù)據(jù)的安全，企業(yè)必須確保對集群配置的合理性和安全性，以獲得更充分的安全防護(hù)能力。

　　2、管理員權(quán)限混亂

　　為了應(yīng)用方便，很多組織的開發(fā)人員可以輕易的使用CLUSTER_ADMIN（集群管理員）之類特權(quán)賬號對集群執(zhí)行日常操作，這種方式顯然是錯誤的。特權(quán)賬號應(yīng)該僅用于管理其他角色和用戶，當(dāng)多個開發(fā)者都可以擁有CLUSTER_ADMIN級別的訪問權(quán)限時，也意味著黑客可以更加輕松的獲得訪問權(quán)限，他們可以通過這些高級賬戶非法進(jìn)入Kubernetes上的系統(tǒng)，進(jìn)而全面訪問整個集群中的數(shù)據(jù)資源。

　　3、過度的訪問授權(quán)

　　并非每個開發(fā)人員都需要全面訪問所有資源才能完成其工作，但實際上，許多企業(yè)的管理員卻沒有對開發(fā)人員訪問dev/stage/prod集群的權(quán)限類型予以適度的管理和限制。允許開發(fā)人員不受限制地訪問資源是一種非常糟糕的做法。與設(shè)有多個管理員相似，這個錯誤很容易就會被黑客探測并利用，他們可以使用這種不受限制的訪問權(quán)限在貴組織的系統(tǒng)中橫向移動，并且大量的竊取或破壞資源。

　　4、未有效的實現(xiàn)應(yīng)用隔離

　　隔離是Kubernetes平臺的一種天然屬性，可以通過命名空間來實現(xiàn)對象隔離。但是許多企業(yè)組織想當(dāng)然地以為集群網(wǎng)絡(luò)與云虛擬專用網(wǎng)（VPC）都會被有效的進(jìn)行隔離，但事實并不是這樣。企業(yè)在Kubernetes應(yīng)用中，不能忽視保護(hù)集群網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)，并對重要業(yè)務(wù)系統(tǒng)及數(shù)據(jù)實現(xiàn)隔離防護(hù)。

　　5、未檢測導(dǎo)入YAML的安全隱患

　　Kubernetes可以支持YAML和JSON格式創(chuàng)建資源對象，JSON格式用于接口之間消息的傳遞，適用于開發(fā)；YAML格式用于配置和管理，適用于云平臺管理。YAML是一種簡潔的非標(biāo)記性語言，導(dǎo)入公共YAML盡管可以避免重復(fù)性工作，節(jié)省時間，但也同樣會將錯誤配置引入到企業(yè)環(huán)境中。因此企業(yè)在引入公共YAML時，需要充分檢測并評估其帶來的安全影響，并確?？梢越鉀Q配置過程中可能存在的安全性問題。

　　6、將機(jī)密數(shù)據(jù)存儲在ConfigMap中

　　機(jī)密數(shù)據(jù)主要包括密碼、令牌或密鑰之類的敏感數(shù)據(jù)。由于疏忽或者使用的方便，開發(fā)人員經(jīng)常會將一些機(jī)密信息存儲在ConfigMap中，從而增加了這些敏感數(shù)據(jù)的暴露風(fēng)險。ConfigMap是一種API對象，通常只用來保存非機(jī)密性數(shù)據(jù)，它可以讓用戶將針對特定環(huán)境的配置與容器鏡像分離，以便應(yīng)用程序易于移植。但是由于缺乏保護(hù)，黑客同樣有機(jī)會訪問ConfigMap，因此也能夠訪問保存在其中相關(guān)資源。

　　7、沒有定期開展安全掃描

　　在軟件開發(fā)生命周期（SDLC）和持續(xù)集成/持續(xù)交付（CI/CD）管道的早期階段執(zhí)行定期掃描，以查找錯誤配置和漏洞，這有助于杜絕這些問題進(jìn)入到生產(chǎn)環(huán)境的可能性。但現(xiàn)實中，許多組織都沒有這樣的安全計劃或缺少行動。從攻擊成本角度看，黑客通常會尋找最省事的攻擊目標(biāo)。因此，企業(yè)首先要確保自己不是保護(hù)最乏力的組織，這樣就可以減少成為被攻擊目標(biāo)的可能性。開展日常性的安全漏洞檢查并且有效落實，正是一種快速提升安全能力的有效途徑。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<